Le RGPD : vous vous occupez quand même aussi de la protection des données ?
Le 24 mai 2016, la directive européenne RGPD (règlement général sur la protection des données, en anglais : « General Data Protection Regulation » - GDPR) est entrée en vigueur. Ce règlement règle le traitement des données à caractère personnel et entraîne un certain nombre de modifications dans la loi belge actuelle relative à la vie privée. Ces modifications signifient un impact à ne pas sous-estimer pour votre organisation. Une période de transition de 2 ans a été prévue. Vous avez donc encore jusqu'au 25 mai 2018 pour préparer votre organisation afin qu'elle satisfasse aux nouvelles obligations.
À qui s’applique ce règlement européen ?
Le RGPD s’applique à toutes les organisations privées ou publiques (entreprises, associations, instances publiques,…), qui traitent des données à caractère personnel de citoyens européens. Ainsi, le règlement s’appliquera, par exemple, à toutes les entreprises qui ont du personnel en service. Sur le plan des RH, il y a en effet beaucoup de processus de traitement de données à caractère personnel. Pensez à l’administration des salaires et du personnel, à la banque de données contenant les données personnelles de travailleurs et de candidats, à l’échange de données avec le Secrétariat social, à l’album photo annuel,…
Nouvelles obligations pour les employeurs
Au lieu de l’obligation actuelle de déclaration à L’Autorité de protection des données (APD), de nombreuses entreprises (à partir de 250 travailleurs) devront tenir un registre de toutes les activités de traitement qui sont effectuées sous leur responsabilité.
La déclaration relative à la vie privée, dans laquelle vous fournissez déjà maintenant certaines informations aux intéressés à l’occasion du traitement de données à caractère personnel (devoir d’information), doit être complétée avec des informations supplémentaires telles que la base légale et le délai de conservation.
En cas de situations à haut risque (comme l’introduction d’une nouvelle technologie), il devra être exécuté une évaluation de l’impact sur la vie privée (« Privacy Impact Assessment », PIA). Dans le développement de nouveaux produits, par exemple, la protection des données devra être intégrée depuis le début (« privacy by design »).
Certaines entreprises seront contraintes de désigner un Fonctionnaire pour la Protection des Données ou un Officier chargé de la Protection des Données (« Data Protection Officer »).
Lorsqu’une fuite de données est susceptible de causer des dommages à l’intéressé, il faut signaler celle-ci à la Commission vie privée dans les 72 heures suivant la découverte.
Nouveaux droits pour les travailleurs et les intéressés
Les intéressés jouissent, sous le RGPD, des mêmes droits que sous la loi belge actuelle relative à la vie privée, avec quelques améliorations et nouveautés.
L’autorisation de l’intéressé pour le traitement des données à caractère personnel ne peut être déduite d’un silence, mais doit être donnée expressément.
Les demandes d’accès aux données à caractère personnel par les intéressés devront être traitées dans les 30 jours (à présent encore 45 jours).
Ainsi, les intéressés ont un ‘droit d’être oubliés’, ce qui implique que vous serez tenu, dans certaines circonstances, d’effacer leurs données à caractère personnel.
Ainsi, il y a une meilleure protection contre les pratiques de marketing direct, le processus décisionnel automatisé (en cas de candidatures par le biais d’Internet, par exemple) et le profilage.
Les intéressés ont également le droit d’obtenir leurs données à caractère personnel sous une forme structurée et électronique (c’est le droit de transmissibilité des données ou de portabilité des données).
Risque accru de sanctions plus élevées
Avec le RGPD, toute organisation devra prouver qu’elle agit conformément aux principes de protection des données, bref qu’elle est conforme au RGPD (renversement de la charge de la preuve, responsabilité et justification).
Si une entreprise ne respecte pas ou viole les règles proposées, elle courra le risque d’une amende allant jusqu’à 20.000.000 EUR ou 4 % du chiffre d’affaires annuel mondial. Les compétences de la Commission vie privée seront élargies pour lui donner plus de portée, de sorte qu’elle puisse intervenir de façon proactive et imposer directement des sanctions si nécessaire.
Il est clair que, cette fois, la législation relative à la vie privée ne restera pas lettre morte.
Un ’Plan d’approche à 13 étapes’
Vu le risque important que la vie privée (la protection des données) signifie pour une organisation, tant pour le fonctionnement de son activité que pour sa réputation, vous devez vous préparer à temps et implémenter à l’avance les mesures nécessaires autour de la vie privée.
Vu l’intérêt des processus de traitement des données à caractère personnel des travailleurs, il est indiqué que les RH fassent partie de l’équipe de projet Protection des données qui, sur la base du plan du projet, inventoriera entre autres les processus existants de traitement des données à caractère personnel (audit des données) et ajustera les procédures existantes.
Il est également important, dans le cadre de la sensibilisation, d’informer les travailleurs en temps opportun par le biais du Comité d’entreprise.
L’Autorité de protection des données (APD), avant La Commission belge de protection de la vie privée, a mis à disposition un plan à 13 étapes qui peut vous aider à rendre votre organisation conforme au RGPD pour le 25 mai 2018. Veuillez consulter le plan à étapes via ce lien.